ControlScan 的 PCI 合规性扫描正在我的 Amazon Web Services 服务器上的数百个网站之一上运行,但却减慢了整个服务器的速度甚至导致其崩溃。
您有什么建议来阻止这次扫描?
答案1
ControlScan 还会让我们的服务器崩溃(即使在“慢速”设置下)。这更加令人恼火,因为在慢速设置下,扫描需要将近四天的时间,所以当服务器崩溃时……扫描失败,我们必须从头开始。我们的应用程序可能不是最高效的,但这是在一个相对较新的专用服务器上,任何其他流量都没有问题。
我们已经将此事报告给 ControlScan,但他们似乎无意通过添加较慢的扫描速度选项来解决这个问题。扫描过程中的大多数请求似乎都运行得比较好,但似乎他们的逻辑中有一个特定部分(我认为是盲 SQL 注入或 XSS 探测)运行得太快了(我们在这一部分中记录了他们每秒近 100 个请求)。他们真的需要改进他们的代码……也许还要添加一个“非常慢”的设置。他们的解决方案是向我们出售某种托管防火墙产品/解决方案(我不记得一个月要花多少钱了)……我们不感兴趣。
答案2
您可以在 INPUT 表的开头添加显式 DROP
iptables -I INPUT 1 -s ip.add.re.ss -j DROP
这将删除来自 ip.add.re.ss 的所有现有连接并且也不允许来自该 ip.add.re.ss 的新连接。
答案3
我们将它们用于 PCI。
它们有一个取消按钮,可以停止对您的网站进行扫描。它们还有三种不同的扫描速度。
也许可以尝试较慢的扫描。